ใช่ มันยังยากด้วยอาร์กิวเมนต์แบบไฮบริดง่ายๆ
โดยพื้นฐานแล้วสำหรับ $i\in[k]$ กำหนด "การกระจายแบบผสม"
$$H_i = (A, A\vec s_1 + \vec e_1,\dots, A\vec s_i + \vec e_i, \vec u_{i+1},\dots, \vec u_k).$$
แล้วปัญหาการแยกแยะระหว่าง $H_i$ และ $H_{i+1}$ สามารถลดปัญหา LWE ได้
เมื่อใช้สิ่งนี้เพื่อวิเคราะห์สิ่งต่าง ๆ อย่างเป็นรูปธรรม สิ่งนี้ทำให้สามารถผูกมัดข้อได้เปรียบของการแยกแยะระหว่าง $H_0$ และ $H_k$ โดย $k$ เท่าของข้อได้เปรียบของตัวแยก LWE
อาร์กิวเมนต์นี้ (และเทคนิคการใช้ซ้ำโดยทั่วไป $เอ$) วันที่ย้อนกลับไปอย่างน้อย ฟังก์ชั่นประตูกลที่สูญเสียและการใช้งาน โดย Peikert และ Waters ในปี 2551
มันมีประโยชน์ที่เป็นไปได้เล็กน้อย ได้แก่ :
- โดยหลักการแล้วเราสามารถสร้างมาตรฐานของเมทริกซ์เดียวได้ $เอ$ ที่ผู้ใช้ทั้งหมดใช้ (คล้ายกับวิธีที่กลุ่ม DDH ได้รับมาตรฐาน) หรือแม้กระทั่ง
- หนึ่งสามารถ "ใช้ซ้ำ" เดียว $เอ$ ในระยะเวลาที่ค่อนข้างสั้นแต่ยังไม่จุกจิก เช่น 1 ชั่วโมง
โดยทั่วไปแล้วจะไม่ได้รับความสนใจมากนักอีกต่อไป
นี่คือเหตุผลหลักสองประการ
- เราสามารถลดขนาดของ $เอ$ โดยการดึงดูด LWE เวอร์ชันที่มีโครงสร้าง (ในขณะที่ปรับปรุงประสิทธิภาพของการดำเนินงานที่เกี่ยวข้อง) และ
- ในทางปฏิบัติมักไม่ส่ง $A\in\mathbb{Z}_q^{n\times m}$ ในราคา $นาโนเมตร\log_2q$ บิต (ซึ่งมีขนาดใหญ่ นำไปสู่การค้นหาอาร์กิวเมนต์ค่าตัดจำหน่ายเช่นเดียวกับที่คุณเสนอ) คุณสามารถส่ง "seed" แทนได้ $\{0,1\}^\แลมบ์ดา$ซึ่งขยายเป็นเมทริกซ์แบบสุ่ม $เอ$ โดยใช้ฟังก์ชันขยายเอาต์พุตที่ปลายทาง ผู้สมัคร NIST PQC ส่วนใหญ่ใช้วิธีนี้
นอกจากนี้ยังควรกล่าวถึงด้วยว่าแนวคิดข้างต้นเกี่ยวกับ "อินสแตนซ์ LWE ที่ได้มาตรฐาน" มีเหตุผลเชิงปฏิบัติสองสามข้อที่ว่าทำไมมันอาจไม่ฉลาดในช่วงเวลาที่ยาวนาน กล่าวคือ
มันเปิดโอกาสให้คุณโจมตีการประมวลผลล่วงหน้า (คล้ายกับมาตรฐานกลุ่ม DDH อื่น ๆ เช่นการโจมตี LogJam) และที่สำคัญกว่านั้น
เราสามารถสร้าง "อินสแตนซ์ LWE ลับๆ" --- การกระจายของเมทริกซ์แบบสุ่มโดยประมาณ $เอ$ ที่แยกไม่ออกจากการคำนวณจากการสุ่ม แต่มี "ประตูกล" ที่ช่วยให้สามารถทำลาย LWE ได้
อินสแตนซ์ LWE แบบแบ็คดอร์นั้นค่อนข้างตรงไปตรงมา (ฉันจำไม่ได้ว่าควรระบุแหล่งที่มาของใคร)
จำได้ว่าสมมติฐานของ NTRU สร้างคีย์เป็นคีย์สาธารณะ $h$และรหัสลับ $f$, ดังนั้น $hf = g$ เล็ก".
ด้วยการใช้รูปแบบ "เมทริกซ์" ที่เหมาะสม เราจะได้เมทริกซ์ $H, F$ ดังนั้น:
- $HF = G$ มีขนาดเล็กและ
- $H$ แยกไม่ออกจากการคำนวณจากการสุ่มอย่างเท่าเทียมกัน
แล้วถ้าเราใช้ $H^t$ เป็นเมทริกซ์สุ่มของอินสแตนซ์ LWE เช่น รับตัวอย่าง $(H^t, H^t s + E)$เราสามารถทำลายสมมติฐาน LWE ได้อย่างง่ายดายโดยใช้เมทริกซ์สุ่มนี้ เช่น $F^t H^t s + F^t E = Gs + F^t E$ คือ "เล็ก" (ฉันเชื่อ) ทั้งหมดนี้เป็นเมทริกซ์ $H$ แยกไม่ออกจากการคำนวณจากการสุ่มภายใต้ NTRU เช่น ลับๆนี้ของ $H$ ตรวจจับได้ยาก